Ce document explique comment le masquage des résultats à l'aide des fonctionnalités de la console Security Operations peut contribuer à réduire le nombre de résultats ingérés dans Security Command Center Enterprise.
Présentation
Si vous désactivez les résultats pour les demandes dans la console Security Operations, ils ne s'afficheront plus dans les demandes. Vous pouvez ignorer des résultats de manière groupée en exécutant une action manuelle sur une demande ou ignorer un résultat individuel en exécutant une action manuelle sur l'alerte spécifique.
Le connecteur SCC Enterprise – Urgent Posture Findings ingère toutes les conclusions dans les demandes, mais vous remarquerez peut-être des conclusions spécifiques qui semblent sans rapport avec votre projet ou qui indiquent un comportement attendu. Dans ce cas, le flux de résultats négligeables peut compliquer la charge de travail des analystes de sécurité et les empêcher de répondre efficacement aux failles importantes. Au lieu d'être constamment informé des résultats non pertinents existants dans Security Command Center Enterprise, vous pouvez les désactiver.
Ignorer plusieurs résultats
Si vous désactivez tous les résultats d'une demande, Security Command Center la ferme automatiquement.
Pour désactiver plusieurs résultats dans une demande, procédez comme suit:
- Dans la console Security Operations, accédez à Demandes.
- Sélectionnez une demande contenant les résultats à masquer.
- Dans l'onglet Présentation de la demande, cliquez sur Action manuelle.
- Dans le champ de l'action manuelle Rechercher, saisissez
Update Finding. Dans les résultats de recherche, sous l'intégration GoogleSecurityCommandCenter, sélectionnez l'action Mettre à jour le résultat. La boîte de dialogue d'action s'ouvre.
Par défaut, le paramètre Exécuter sur les alertes est défini sur la valeur Toutes les alertes.
Facultatif: Pour modifier les paramètres par défaut du paramètre Exécuter sur les alertes, sélectionnez les types de résultats appropriés dans la liste déroulante.
Pour configurer le paramètre Nom de recherche, saisissez l'espace réservé suivant :
[Alert.TicketID]L'espace réservé récupère dynamiquement les noms des résultats qui correspondent aux alertes sélectionnées.
Pour ignorer les résultats, définissez le paramètre État de masquage sur Masquer.
Cliquez sur Exécuter.
Ignorer un résultat individuel
Pour désactiver une conclusion spécifique, vous devez exécuter l'action Mettre à jour la conclusion sur une alerte spécifique dans l'affaire. Cette action n'a aucune incidence sur les autres alertes de l'incident.
Pour ignorer un résultat individuel, procédez comme suit:
- Dans la console Security Operations, accédez à Demandes.
- Sélectionnez une demande contenant les résultats à masquer.
- Dans un cas, sélectionnez l'alerte contenant un résultat à ignorer.
- Dans une alerte, accédez à l'onglet Événements.
- Pour récupérer le nom du résultat d'un événement, cliquez sur Afficher plus. La vue détaillée de l'événement s'ouvre.
Dans la section Champs mis en évidence, recherchez un nom de champ Name (Nom). Cliquez sur sa valeur pour voir le nom complet du résultat. Copiez la valeur complète du nom de la recherche au format suivant:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDDans l'onglet Vue d'ensemble de l'alerte de l'alerte sélectionnée, cliquez sur Action manuelle.
Dans le champ de l'action manuelle Rechercher, saisissez
Update Finding.Dans les résultats de recherche, sous l'intégration GoogleSecurityCommandCenter, sélectionnez l'action Mettre à jour le résultat. La boîte de dialogue d'action s'ouvre.
Par défaut, le paramètre Exécuter sur les alertes est défini sur la valeur d'alerte sélectionnée.
Pour configurer le paramètre Finding Name (Nom de la recherche), collez la valeur Name (Nom) que vous avez copiée depuis la vue détaillée de l'événement.
Pour ignorer un résultat, définissez le paramètre État de blocage sur Ignorer.
Cliquez sur Exécuter.
Étape suivante
Découvrez comment ignorer les résultats dans Security Command Center.
Pour en savoir plus sur les cas, consultez la documentation Google SecOps.